如何分析rootkit？

Question

另一个是我的朋友，他给我发了一个rootkit/代码，他在一个被攻击的服务器上找到了它(php漏洞)。

现在我想看看它，但我想知道是否有一些基本步骤来分析这些事情？

我不是在说那些显而易见的东西，比如使用一个没有连接到网络的沙箱。但是更多的是一个人如何一步一步地进行彻底的分析，以及这通常是如何被记录下来的。

Answer 1

作为我运行的CTF挑战的一部分，去年我们遇到了一些逆向工程方面的挑战。我发布了一些关于如何执行分析的建议(由每天这样做的人进行验证)。博客是这里。链接指向国际开发协会和OllyDbg的教程，这是两种最流行的分析工具，其中有一家AV供应商提供了一篇很好的文章。从记忆中，教程是一步一步的。

在http://www.securitytube.net/上也有一些rootkit分析视频。

Answer 2

首先，基于php/cgi的程序可能不是rootkit --rootkit通常使用隐藏在内核(而不仅仅是恶意软件)中的恶意软件进行组装。

如果您确定这是一个rootkit，那么您有两个选择：

• 离线分析-给定断电系统的图像，您可以分析它更改了哪些文件。类似地，您可以像分析其他恶意软件一样分析二进制文件。
• 在线分析--这就是rootkits试图阻止他们自己或他们隐藏的恶意软件的地方；然而，通常您可以执行一些分析。

与普通的恶意软件不同，二进制插装或rootkit的调试要困难得多，因为它们运行在与内核其他部分相同的安全级别上，您必须将调试器附加到内核。例如，您可以选择使用KGDB。

离线分析很像逆向工程其他的恶意软件，但是考虑到代码是相对于内核的事实，等等。事情可能要复杂得多。为此，开发协会已经被提及。这是一种标准的行业工具。

所以这个过程和正常的恶意并没有太大的不同，真的。